Троян DanaBot надсилає спам-повідомлення для поширення загроз
Троян DanaBot надсилає спам-повідомлення для поширення загроз
ESET повідомила про виявлення нових функцій трояна DanaBot. Таким чином, загроза відтепер виходить за межі категорії банківських троянів. Згідно з дослідженнями фахівців ESET, оператори DanaBot нещодавно експериментували з функціями збору електронних адрес та надсилання спаму, які можуть використовувати облікові записи електронної пошти жертв для подальшого поширення шкідливих програм.
Шкідливі електронні листи надсилаються у відповідь на легітимні повідомлення електронної пошти, знайдені в інфікованих поштових скриньках, створюючи враження, що їх надсилають самі власники поштових скриньок. Крім того, шкідливі електронні листи, надіслані з облікових записів, налаштованих на надсилання підписаних повідомлень, матимуть дійсні цифрові підписи.
Електронні листи включають ZIP-файли, попередньо завантажені із сервера зловмисників, які містять PDF-файли та шкідливий файл VBS. Виконання файлу VBS призводить до завантаження додаткових шкідливих програм за допомогою PowerShell.
Звертаємо Вашу увагу на те, що на момент написання дослідження описані вище шкідливі функції були націлені лише на Італію.
Крім появи нових функцій фахівці ESET виявили зв'язок DanaBot з іншими троянами, зокрема GootKit. Проаналізувавши шкідливий VBS файл на командному сервері DanaBot, фахівці ESET виявили, що файл вказує на модуль завантажувача для GootKit. Зв'язок загроз також підтверджується даними телеметрії ESET. Домени DanaBot і GootKit зазвичай використовують однаковий реєстратор для своїх доменів .co, а саме Todaynic.com, Inc, і в основному використовують однакові назви серверів. dnspod.com.
За тиждень, починаючи з 29 жовтня 2018 року, телеметрія ESET показала значне зниження поширення DanaBot у Польщі, того ж тижня у Польщі спостерігалося значне підвищення активності GootKit. Під час цього сплеску загроза GootKit поширювалася за допомогою того ж методу, що й DanaBot у недавніх польських кампаніях.
Аналізуючи DanaBot, фахівці ESET також помітили, що частина налаштувань DanaBot має структуру, як і в інших сімействах шкідливого програмного забезпечення, наприклад Tinba або Zeus.
Дослідження фахівців ESET показують, що DanaBot має набагато ширший спектр функцій, ніж звичайне банківське шкідливе програмне забезпечення. Оператори загрози регулярно додають нові функції, перевіряючи вектори розповсюдження та, можливо, співпрацюють з іншими групами кіберзлочинців.
